Tấn công chuỗi cung ứng LiteLLM đánh cắp ví tiền điện tử và khóa đám mây

Các phiên bản LiteLLM 1.82.7 và 1.82.8 bị tiêm phần mềm độc hại đánh cắp thông tin đăng nhập

Hai phiên bản của thư viện Python LiteLLM phổ biến, một công cụ có 97 triệu lượt tải xuống mỗi tháng, đã bị xâm phạm trong một cuộc tấn công chuỗi cung ứng, có nguy cơ đánh cắp ví tiền điện tử và thông tin đăng nhập đám mây. Vào ngày 24 tháng 3, một tác nhân đe dọa được gọi là TeamPCP đã xuất bản các phiên bản độc hại 1.82.7 và 1.82.8 lên Python Package Index (PyPI). Phần mềm độc hại được nhúng là một payload đa giai đoạn được thiết kế để thu thập dữ liệu nhạy cảm, bao gồm khóa SSH, bí mật Kubernetes và khóa riêng tư cho ví tiền điện tử, từ bất kỳ môi trường nào mà các gói bị xâm phạm được cài đặt.

Phiên bản độc hại thứ hai, 1.82.8, đã giới thiệu một vector tấn công mạnh mẽ hơn bằng cách sử dụng tệp .pth. Kỹ thuật này cho phép mã độc hại tự động thực thi bất cứ khi nào trình thông dịch Python khởi động, thay vì chờ thư viện LiteLLM được mã của nhà phát triển nhập một cách rõ ràng. Điều này mở rộng đáng kể phạm vi tấn công và khả năng tồn tại trên một hệ thống bị nhiễm.

Vi phạm đường ống CI/CD thông qua máy quét Trivy kích hoạt tấn công

Sự xâm phạm của LiteLLM không phải là một cuộc tấn công trực tiếp mà là một sự cố lây lan bắt nguồn từ cơ sở hạ tầng phát triển của nó. Kẻ tấn công lần đầu tiên tấn công Trivy, một máy quét lỗ hổng mã nguồn mở được sử dụng trong đường ống tích hợp liên tục/triển khai liên tục (CI/CD) của LiteLLM. Bằng cách xuất bản các bản phát hành Trivy độc hại vào ngày 19 và 22 tháng 3, TeamPCP đã khai thác một cấu hình sai để đánh cắp mã thông báo truy cập đặc quyền cho dự án LiteLLM.

Với các thông tin đăng nhập bị đánh cắp, những kẻ tấn công đã có thể xuất bản các gói LiteLLM có cửa hậu trực tiếp lên PyPI. Các nhà nghiên cứu bảo mật phát hiện ra rằng dữ liệu bị thu thập đang được gửi dưới dạng kho lưu trữ được mã hóa đến một miền lệnh và kiểm soát do kẻ tấn công kiểm soát, models.litellm[.]cloud. Một cửa hậu bền bỉ cũng được cài đặt để thăm dò một miền riêng biệt, checkmarx[.]zone, cứ sau 50 phút để tìm các lệnh hoặc payload mới, cho thấy một chiến lược xâm nhập dài hạn.

TeamPCP thề sẽ tấn công thêm, rủi ro chuỗi cung ứng leo thang

Sự cố LiteLLM là một phần trong chiến dịch có chủ ý và leo thang của TeamPCP nhằm vào cơ sở hạ tầng nhà phát triển quan trọng. Nhóm này đã công khai nhận trách nhiệm về cuộc tấn công trên kênh Telegram của mình, nói rõ ý định tiếp tục nhắm mục tiêu vào các công cụ phổ biến và duy trì sự hỗn loạn. Điều này nâng tầm sự cố từ một sự vi phạm của một dự án đơn lẻ thành một mối đe dọa hệ thống đối với chuỗi cung ứng phần mềm mã nguồn mở.

Chuỗi cung ứng mã nguồn mở đang tự sụp đổ. Trivy bị xâm phạm → LiteLLM bị xâm phạm → thông tin đăng nhập từ hàng chục nghìn môi trường rơi vào tay kẻ tấn công → và những thông tin đăng nhập đó dẫn đến sự xâm phạm tiếp theo. Chúng ta đang mắc kẹt trong một vòng lặp.

— Gal Nagli, Giám đốc Phơi nhiễm Đe dọa tại Wiz thuộc sở hữu của Google.

Chu trình xâm phạm này, trong đó các thông tin đăng nhập bị đánh cắp từ một cuộc tấn công được sử dụng để khởi động cuộc tấn công tiếp theo, tạo ra hiệu ứng quả cầu tuyết đáng kể. Đối với các nhà đầu tư và nhà phát triển trong không gian Web3, cuộc tấn công này làm suy yếu niềm tin vào tính bảo mật của các công cụ phát triển nền tảng và tăng rủi ro hoạt động cho các dự án dựa vào hệ sinh thái mã nguồn mở.